Urteil vom 18. November 2024 – VI ZR 10/24
BGH urteilt zum immateriellen Schadenersatz
Aufgrund eines Datenlecks bei einem sozialen Netzwerk wurden unzählige Daten der Nutzer im Internet öffentlich verbreitet. Unbekannte Dritte hatten sich zuvor den Umstand zu Nutze gemacht, dass es in Abhängigkeit von den Suchbarkeits-Einstellungen des jeweiligen Nutzers möglich war, dass dessen Profil mithilfe seiner Telefonnummer gefunden werden kann. Die unbekannten Dritten ordneten durch die in großem Umfang erfolgte Eingabe randomisierter Ziffernfolgen über die Kontakt-Import-Funktion Telefonnummern den zugehörigen Nutzerkonten zu und griffen die zu diesen Nutzerkonten vorhandenen öffentlichen Daten ab (sog. Scraping).
Entscheidung des BGH
Der BGH (Urteil vom 18. November 2024 – VI ZR 10/24) hat nunmehr entschieden:Der Anspruch des Klägers auf Ersatz immateriellen Schadens lässt sich mit der Begründung des Berufungsgerichts nicht verneinen. Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Höhe des Schadens
Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der Bundesgerichtshof das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf „alle“ nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der Bundesgerichtshof Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von EUR 100 zu bemessen.
Gegensatz zum EuGH
Die Entscheidung steht auf den ersten Blick im Gegensatz zu einer Entscheidung des EuGH (Urt. v. 25.1.2024 – C-687/21), wonach der bloße Kontrollverlust nicht ohne weiteres Hinzutreten eines darüber hinausgehenden Schadens zu einem Schadenersatzanspruch führe: Art. 82 Abs. 1 DSGVO ist insoweit dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.